# !/usr/bin/env python3
# -*- coding: utf-8 -*-
"""
===========================
@Time : 2022/7/23 0023 22:19
@Author : 测试开发工程师
@File : 8. CSRF漏洞.py
@Software: PyCharm
============================
"""

"""
CSRF 漏洞介绍与原理： session 和 token 
    跨站请求伪造： 也被称为 one-click attack 或者 session riding，通常缩写为CSRF 或者 XSRF，是一种挟制用户在当前已登录的 web 应用程序上执行
    非本意的操作的攻击方法。[1] 跟跨网站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。
    
    跨站请求攻击，简单的说，是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作（如发邮件，发信息，甚至财产
    操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去运行。这利用了 web 中用户身份验证的一个漏洞：
    简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的。


常见的攻击payload:
    利用 url
    利用图片请求
    利用伪造表单
    
危害与检测
    危害： 导致用户执行非本意的网站请求(转账，修改密码等)
    预防： 增加 token（网站自己生成的 token ，而不是第三方），检查 referer
    

"""
